"사이버 보안 위협, 보는 만큼 막는다"

시스코코리아 정관진 부장 지디넷 SNC 발표

컴퓨팅입력 :2015/08/19 16:39

기업이 수단이 제한된 사이버 보안 위협에 제대로 대응하려면 공격 시점 전, 중, 후를 아우르는 '최고의 가시성'을 확보해 전방위 차단을 실행하라는 조언이 나왔다.

시스코코리아 정관진 부장은 19일 오후 서울 삼성동 코엑스 시큐리티넥스트컨퍼런스(SNC) 현장에서 '지능형 보안 위협에 필요한 바로 이것, 가시성'이라는 주제의 강연을 통해 이같이 전했다.

정 부장은 "악성코드가 유입된 시점 이후 시스템에 감염돼 추적하는 경우 이미 공격이후 시점에 대응을 해야 하는데, 감염 이전 단계에서 웹단에서 취약점을 사전 차단하거나 감염 이후라도 이미 알려진 데이터를 통해 대응할 수 있다면 훨씬 나은 방어 전략을 수립하고 전체적인 보안 수준을 향상시킬 수 있다"며 "공격이 이뤄지는 각각의 단계, 전체를 이해할 수 있어야 한다"고 강조했다.

기업들의 보안은 비즈니스를 보호하는 데 불충분하다. 사고로 인한 유출, 안전하지 않은 원격 접속, 적합하지 않은 보안 정책, 내부의 적 등 환경적 문제로 데이터 유출, 하이잭킹, 파괴활동에서 자유롭지 못하기 때문이다. UTL이나 방화벽같은 위협차단 수단의 제한성, 방화벽이나 VPN이나 IPS나 웹시큐리티 등 여러 지점의 여러 보안 솔루션을 기존 보안제품과 함께 쓰기 어려운 문제도 있다.

시스코 정관진 부장

공격을 사전에 방어하고, 공격 시점엔 위협시스템 판단과 원인 추적을 진행하고, 공격이 이뤄진 후 위협시스템 추적과 지속적인 위협 차단이 수행돼야 한다. 시스코와 외부 전문가가 연계해 움직이는 보안 위협 대응 조직인 '탈로스(Talos)' 팀이 제공하는 위협 분석 데이터를 통해 가시성을 확보하면 이게 가능하다는 설명이다.

조직에서 시스코가 강조하는 최고의 가시성을 확보하면 뭐가 달라질까. 기업이 악성코드를 탐지했을 때 어떤 사용자가 처음 접근했는지, 무슨 애플리메이션이 영향을 받았는지, 침해당한 영역의 범위가 어디인지, 위협에 노출된 시점은 언제인지, 감염은 어떻게 이뤄졌고 위협은 어떻게 진행돼가는지 등을 알 수 있을 것으로 기대할 수 있다.

정 부장은 기업들이 시스코 솔루션의 트래픽 분석을 통해 실시간 자산을 인식하고, 호스트기반의 모든 네트워크 행동을 기록하는 방식으로 증거를 확보해 시스템의 감염 경로에 상관관계가 있는 요인들을 추적하고, 콘텐츠나 네트워크나 접근제어 등 솔루션 영역에 연동되는 시스코 'AMP'와 탈로스 팀과 파트너 에코시스템의 기술을 통해 가시성 확보 및 차단 수단을 확보할 수 있다고 강조했다.

시스코는 자사 솔루션의 '트래픽 분석을 통한 실시간 자산 인식' 기능을 통해 어떤 사용자가 언제 사용했나, 특정 호스트를 누가 사용하나, OS의 종류와 버전은 무엇인가, 접근한 서버와 애플리케이션 및 버전 정보는 무엇인가, 클라이언트 애플리케이션과 버전은 무엇인가 등을 알 수 있다고 밝혔다. 이런 정보는 IPS와 방화벽 등의 운영과 맞물려 보안 대책을 더 잘 세우고 유사시 더 잘 대응케 해준다.

네트워크관점에서 파일이 어떻게 움직이고 변화했는지를 보여주는 '네트워크파일트래젝토리'라는 기능은 특정 파일의 생성과 전달 경로 이력, 악성코드 판정 여부, 시계열 그래프 등을 제공한다. 언제 어떤 클라이언트가 어느 IP를 통해 파일을 내려받았고 그후 몇분 또는 몇시간동안 어느 서버와 네트워크를 타고 전송이 됐는지, 악성코드로 활동하기 시작한 시점은 언제부터인지 알 수 있는지 보여 준다.

관련기사

이는 실제 공격이 발생하기 이전부터 사이버침해 시도가 어떤 경로와 시점부터 시작됐는지 알려줌으로써, 모든 공격을 즉각 방어하지는 못하더라도 발생 시점 이후 대응을 위해 복잡한 추적 과정을 거쳐야 알 수 있었던 정보를 즉시 제시할 수 있다는 점에서 전반적인 보안성을 개선해 줄 수 있다. 악성코드가 외부와 통신했었는지 알려 주는 감염경로 상관관계 표시 기능도 같은 맥락에서 요긴하다.

정 부장은 "오늘날의 지능형 위협들은 단일한 솔루션만으로 막기 어렵기 때문에 이제 콘텐츠, 네트워크, 엔드포인트까지 통합된 위협, 플랫폼 정책을 고려한 전방위적인 다층적 방어전략을 수립해야 하고 그 기반에는 가시성이 갖춰져 있어야 한다"며 "시스코 솔루션은 기존 솔루션과, 파트너 에코시스템의 타사 솔루션과도 유기적으로 연동이 가능하도록 구성돼 있다"고 말했다.